量子密鑰交換懷疑/困惑

我希望有人可以解釋一些我不太了解的量子密鑰交換問題。我已經閱讀了有關 BB84 的點點滴滴，但我確信我的問題也可能適用於其他方案。我對量子密鑰交換的理解如下（如有錯誤請指正）：

1. Alice 創建一個隨機位串，並為每個位選擇一個隨機過濾器（例如 x 或 +）。
2. 她將這些選擇編碼為偏振光子，並通過量子通道發送給 Bob
3. Bob 猜測要使用哪個過濾器，如果他猜對了（假設目前沒有 Eve 亂搞），他會得到 Alice 想要的位。如果他猜錯了過濾器，他有 50% 的機會得到 Alice 想要的位
4. Alice 和 Bob 交換 Bob 應該使用的過濾器；他們忽略了 Bob 使用錯誤過濾器的位
5. 然後 Alice 和 Bob 從他們的比特中挑選一個樣本，看看是否有任何差異，如果有很多，他們會再次嘗試密鑰交換。如果沒有那麼多，他們會繼續進行奇偶校驗以就正確的密鑰達成一致，然後使用剩餘的雜湊引理來確保 Eve 不知道任何事情

如果我對上述內容有誤，請糾正我。我的問題如下：

1. 如何保證身份驗證或消息完整性（特別是當 Alice 和 Bob 交換正確的過濾器等時）？
2. 如果 Alice 和 Bob 只計算他們具有相同過濾器的位，那麼 Eve 是否也猜到正確的過濾器不是 50/50 嗎？所以即使 Alice 或 Bob 都不知道，Eve 也不能看到一半的密鑰！？
3. 什麼比例的差異太大，為什麼？
4. 我們總是假設 Eve 是被動觀察，難道她不能做更多的事情嗎（比如將極化改變為她喜歡的任何東西等等）？
5. 剩餘的雜湊引理實際上是如何工作的？

如果上述任何一個問題都是愚蠢的問題，我深表歉意，但我對這個協議感到非常困惑。1) 和 2) 對我來說特別重要，因為它們看起來像是我似乎無法理解的重大問題，而且我找不到一篇真正正確解釋它的好文章，所以從這裡來的解釋會很棒。

非常感謝您對任何問題的幫助。

1. 如何保證身份驗證或消息完整性（特別是當 Alice 和 Bob 交換正確的過濾器等時）？

除了在其上執行量子密鑰交換 (QKE) 的量子通道之外，預認證的經典通道是一項基本要求。這意味著 Alice 和 Bob在開始 QKE 之前*必須共享一個初始秘密。*正因如此，量子密鑰交換更恰當地是量子密鑰增長的過程。但是，這個初始秘密不必很大，例如一個簡單的密碼就足夠了。

2. 如果 Alice 和 Bob 只計算他們具有相同過濾器的位，那麼 Eve 是否也猜到正確的過濾器不是 50/50 嗎？所以即使 Alice 或 Bob 都不知道，Eve 也不能看到一半的密鑰！？

當然，Eve 可以在量子信號（光子）在量子通道上傳播時截獲它們並像 Bob 一樣測量它們。然而，測量會破壞光子的狀態，因此 Eve 必須重新準備光子並將它們發送給 Bob。在這個通常稱為**攔截和重發攻擊 (IRA)**的過程中，Eve 會正確猜出大約 50% 的密鑰（正如您所懷疑的那樣）。然而，在 Bob 和 Alice 使用相同過濾器的大約 25% 的情況下，由於 Eve 的攻擊，他們會看到各自的位不匹配。這意味著量子比特誤碼率 (QBER) 為 $ q = 0.25 $ （在統計限度內）將由 Alice 和 Bob 承擔。這也意味著通道是不安全的，它們應該中止通信。雖然這顯然不是一個理想的情況，但 Alice 和 Bob 被告知 Eve 的存在並因此有機會保護他們的秘密這一事實仍然令人矚目。他們可以稍後再試或切換到不同的通信渠道。

3. 什麼比例的差異太大，為什麼？

讓我們再次以 IRA 為例。如果 Eve 不對每個量子信號執行 IRA，會發生什麼？比如，如果她只限制在一小部分怎麼辦 $ f < 1 $ . 在這種情況下，她的資訊將是 $ I_E = f0.5 $ 而 QBER $ q = 0.25f $ . Alice 和 Bob 計算的密鑰速率在 $ q = q_{0} \approx 0.17 $ （計算取決於 $ h(q) $ 和 $ h(.) $ 是香農的熵，以及您提到的隱私放大或“散列”的數量）。這意味著如果夏娃選擇 $ f < 0.68 $ ，Alice 和 Bob 在協議結束時仍然可以提煉出正向密鑰。請注意，此處的數字僅用於說明此範例（請閱讀下一段以了解我的意思）。一般來說，隱私放大步驟的工作是確保如果產生的 QBER 低於中止門檻值，則 Eve 的（部分）密鑰知識變得無限小。

但即使在理論上，Eve 也不僅僅局限於 IRA。她可以執行更複雜的攻擊，稱為連貫攻擊。長話短說，有一個 QBER 門檻值，如果超過該門檻值，則無法保證密鑰提供的安全性，並且應該中止量子密鑰交換。找到這個中止門檻值的值是安全證明中探索的一個問題。根據 BB84 的大多數安全證明，這個門檻值在 11% 左右，即 Alice 和 Bob 可以得到一個密鑰，如果 $ q < 0.11 $ 被觀察到。

4. 我們總是假設 Eve 是被動觀察，難道她不能做更多的事情嗎（比如將極化改變為她喜歡的任何東西等等）？

當然，她可以做很多事情！:) 可以通過說出量子黑客這個詞來打開潘多拉魔盒！該領域主要研究 QKE 系統的理論模型與實際硬體之間的偏差。這些偏差可能是由於技術缺陷（在硬體中）或由於錯誤的假設（在安全證明中）造成的。Eve 可以利用這種偏差來破解系統並獲取有關密鑰的資訊，而無需留下任何攻擊簽名。下面的連結屬於活躍在該領域的一些研究小組。他們可以指導您解決在實際量子密碼學中暴露出一系列實施問題的具體案例：

http://www.vad1.com/lab/

http://www.qolah.org/research/hacking/hack.html

http://www.mpl.mpg.de/index.php?id=125&L=0#QH

http://www.comm.utoronto.ca/~hklo/Research.html

引用自：https://crypto.stackexchange.com/questions/19049